什麼是 Microsoft Entra 加入?
您現在已進一步了解裝置身分識別和條件式存取。 您想要調查 Microsoft Entra Join,以及您可以如何用它來改善 Azure 和內部部署 Active Directory Domain Services 的裝置管理。
在本單元中,您將了解 Microsoft Entra Join,以及其如何用於基礎結構和裝置管理。
Microsoft Entra Join 的基本概念
若使用 Microsoft Entra Join,您可以將裝置加入您的 Microsoft Entra 組織,而不需要與內部部署 Active Directory 執行個體同步。 Microsoft Entra Join 最適合主要以雲端為基礎的組織,不過也可在混合式雲端和內部部署環境中運作。
支援的裝置
Microsoft Entra Join 適用於 Windows 10、Windows 11 或 Windows Server 2019 裝置。 不支援 Windows Server 2019 Server Core 安裝。 如果使用舊版 Windows 作業系統,則必須升級至 Windows 10、Windows 11 或 Windows Server 2019。
身分識別基礎結構
決定最能支援組織需求的身分識別基礎結構模型:
- 受控環境:此環境使用傳遞驗證或密碼雜湊同步,為裝置提供單一登入 (SSO)。
- 同盟環境:這些環境需要使用識別提供者。 該提供者必須支援 WS-Trust 和 WS-Fed 通訊協定,Microsoft Entra Join 才能以原生方式搭配 Windows 裝置運作。 需要 WS-Fed 才能將裝置加入 Microsoft Entra ID。 必須有 WS-Trust 才能登入已加入 Microsoft Entra 的裝置。
- 智慧卡和憑證式驗證:這些方法不是將裝置加入至 Microsoft Entra ID 的有效方式。 然而,如果已設定 Active Directory 同盟服務,則可使用智慧卡來登入已加入 Microsoft Entra 的裝置。 我們建議您使用 Windows Hello 企業版之類的服務,這類服務支援對 Windows 10 和 Windows 11 裝置進行無密碼驗證。
- 手動使用者設定:如果在內部部署 Active Directory 執行個體中建立使用者,則需要使用 Microsoft Entra Connect 將帳戶與 Microsoft Entra ID 同步處理。 如果您在 Microsoft Entra ID 中建立使用者,則不需要額外的設定。
裝置管理
Microsoft Entra Join 會使用行動裝置管理 (MDM) 平台來管理連結到 Microsoft Entra ID 的裝置。 MDM 提供一種方式來強制執行組織所需的設定,例如要求加密存放裝置、密碼複雜性、軟體安裝和軟體更新。
最新版 Windows 10 和 Windows 11 有內建的 MDM 用戶端,可與所有相容的 MDM 系統搭配運作。
有兩個方法可管理已加入 Microsoft Entra 的裝置:
僅限 MDM:只透過 MDM 提供者 (例如 Intune) 來管理所有已加入的裝置。 如果組織使用群組原則,則需要檢閱 MDM 原則以取得支援。
共同管理:所有已加入裝置會使用本機所安裝 System Center Configuration Manager 代理程式和 MDM 提供者的組合。 Microsoft Intune 透過 Configuration Manager 提供共同管理功能。 當 MDM 提供使用者管理原則時,您可使用 Configuration Manager 來管理裝置。
建議使用僅限 MDM 方法來管理所有已加入 Microsoft Entra 的裝置。
資源和應用程式存取的考量
為了獲得最佳的使用者體驗,並改善對應用程式的存取,請考慮將所有應用程式和資源移至 Azure。 雖然在某些情況下有可能達成,但不一定總是切合實際。 在此節中,我們將探索應用程式和資源的存取選項:
雲端式應用程式:任何已移轉的應用程式和所有新應用程式都會新增至 Microsoft Entra 應用程式庫。 Microsoft Entra Join 的使用者可以使用 SSO 存取那些應用程式。 大部分的瀏覽器都支援 SSO。 Microsoft Entra Join 提供 SSO 支援,讓裝置能夠存取仍在使用 Win32 的應用程式。
內部部署 Web 應用程式:您仍可以透過 Microsoft Entra Join 存取任何裝載於內部部署的訂製或自訂軟體。 存取那些應用程式時,每位使用者都需要根據應用程式的所在位置,將應用程式新增至其信任的網站或內部網路區域。 此動作可讓應用程式使用 Windows 整合式驗證,而不會提示使用者進行驗證。
其他裝置:此選項包括透過較早之前通訊協定和內部部署網路共用的現有應用程式。 如果已加入 Microsoft Entra 的裝置已連線到您的網域控制站,則這兩者都可透過 SSO 提供其使用。
印表機資源:這些資源不會透過 Microsoft Entra Join 自動提供。 使用者仍然可以使用印表機的 UNC 路徑直接連線到印表機。
佈建選項
當您在部署 Microsoft Entra Join 時,您有三個選項可決定如何將裝置佈建及加入至 Microsoft Entra ID:
自助:需要使用者在新裝置的 Windows 全新體驗 (OOBE) 期間手動設定裝置,或針對舊版裝置使用 Windows 設定進行設定。 自助較適合技術背景很強的使用者。
Windows Autopilot:可供預先設定 Windows 裝置,包括自動將裝置加入至 Active Directory 組織、自動 MDM 註冊,以及建立客戶的 OOBE 內容。 此方法可簡化整個組織的裝置管理和部署。 您可以佈建及部署 Windows 裝置。 使用者會完成 OOBE,就像是新的使用者一樣。
大量註冊:可讓您供設定佈建套件,以同時套用至大量的新 Windows 裝置。
下表顯示每種方法的主要功能:
| 功能 | 自助服務 | Windows Autopilot | 大量註冊 |
|---|---|---|---|
| 設定期間的使用者互動 | Yes | 是 | No |
| IT 參與 | No | .是 | Yes |
| 適用的流程 | OOBE 和設定 | 僅限 OOBE | 僅限 OOBE |
| 主要使用者的本機系統管理員權限 | Yes | 可設定 | No |
| 需要 OEM 支援 | No | .是 | No |
裝置設定
在 Azure 入口網站中,您可以控制如何將新裝置加入至組織。 移至 [Microsoft Entra ID]>[裝置]>[裝置設定]。 您可從該處設定下列功能,並開啟 Microsoft Entra Join。
| 欄位 | 描述 |
|---|---|
| 使用者可以將裝置加入 Microsoft Entra ID | [全部] 允許任何使用者加入其裝置。 [選取的] 允許新增可加入裝置的特定使用者。 [無] 可防止所有使用者加入其裝置。 |
| 在已加入 Microsoft Entra 的裝置上的其他本機系統管理員 | 可讓您指定要在所有已加入裝置上加入作為本機系統管理員的其他使用者。 預設會啟用此選項。 Microsoft Entra ID 會將全域管理員和裝置管理員角色新增為裝置上的本機系統管理員。 |
| 使用者可以使用 Microsoft Entra ID 註冊其裝置 | 可讓使用者使用 Microsoft Entra Join 來註冊其裝置。 如果使用 Microsoft Intune 或適用於 Microsoft 365 的行動裝置管理,則需要註冊裝置。 如果在 Microsoft Entra 組織中設定了這些服務中的任一個,則會選取 [全部] 並停用此選項。 |
| 需要多重要素驗證才能加入裝置 | 可讓您在裝置加入 Microsoft Entra ID 時,強制執行 Microsoft Entra 多重要素驗證。 對於使用多重要素驗證將裝置加入至 Microsoft Entra ID 的使用者,裝置本身會變成第二個要素。 |
| 每位使用者的裝置數目上限 | 讓您指定使用者可以在 Microsoft Entra ID 中擁有的裝置數目上限。 如果使用者達到此上限,則其必須移除裝置才能加入新的裝置。 |
在我們的情節中,可新增使用者的試驗群組來試用 AD Join。 在該案例中,請選擇 [使用者可以將裝置加入 Microsoft Entra ID]>[已選取],然後新增試驗群組的成員。 當您準備好將 Microsoft Entra Join 部署到整個 Microsoft Entra 組織時,請選取 [全部]。
行動性設定
您可能需要新增 MDM 提供者,才能設定行動性設定。 若要新增 MDM 提供者,請移至 [Microsoft Entra ID]>[Mobility (MDM 和 MAM)]>[新增應用程式]。
當您新增了 MDM 提供者之後,便可設定下列行動性設定:
| 行動性設定 | description |
|---|---|
| MDM 使用者範圍 | 選取 [無]、[部分] 或 [全部]。 如果使用者「位於」MDM 範圍中,而且您有 Microsoft Entra ID P1 或 P2 訂用帳戶,則 MDM 註冊就會隨著 Microsoft Entra Join 自動進行。 範圍內所有使用者都必須具有 MDM 的適當授權。 如果沒有,則 MDM 註冊會失敗,且 Microsoft Entra Join 會回復。 如果使用者「不在」MDM 範圍內,則 Microsoft Entra Join 會在沒有任何 MDM 註冊的情況下完成。 裝置為非受控裝置。 |
| MDM URL | 與 MDM 設定相關的三個 URL 為 [MDM 使用條款 URL]、[MDM 探索 URL] 和 [MDM 合規性 URL]。 每個 URL 都有預先定義的預設值。 如果這些欄位為空白,請連絡 MDM 提供者以取得詳細資訊。 |
| MAM 設定 | 行動應用程式管理 (MAM) 不適用於 Microsoft Entra Join。 |
您應該還記得,您必須限制只有組織所管理且您的 MDM 系統認定符合規範的裝置,才能存取組織的資源。 在我們的案例中,我們想要新增組織的 MDM 提供者,並選取 [MDM 使用者範圍]>[全部]。
加入 Windows 10 或 Windows 11 裝置時的使用者體驗
您已將新裝置提供給精通技術的員工。 其使用自助方法將裝置加入至 Active Directory 組織,其正在使用多重要素驗證。 下列步驟顯示該工作流程看起來的樣子:
啟動裝置之後,員工會遵循提示進行設定,包括自訂其區域和選取語言。
員工接受 Microsoft 軟體授權條款。
員工選取要連線到雲端的網路連線。
當系統詢問 [誰是這部電腦的擁有者?] 時,員工選取 [此裝置屬於我的組織]。
![顯示 [誰是這部電腦的擁有者] 提示的螢幕擷取畫面。](media/3-walk-who-owns.png)
員工使用組織所提供的認證登入。
員工收到多重要素驗證查問提示。
Microsoft Entra ID 會檢查組態設定,以查看裝置是否應在 MDM 中註冊。
當設定檢查成功時,會向組織的 Microsoft Entra 執行個體註冊裝置。 如果正在使用 MDM,則裝置已註冊並受控。